09 Okt

ISMS: Sicherheitsmanagement

ISMS.1 Sicherheitsmanagement

baustein
  • Anforderungen
  • Anforderung
  • Anforderung
  • Umsetzungshinweis

    Umsetzungshinweis

  • Umsetzungshinweis

Basis-Anforderungen

ISMS.1.A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene [Institutionsleitung] (B)
    Anforderungen

  • Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, und zwar so, dass dies für alle Beteiligten deutlich erkennbar ist.
  • Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren.
  • Die Leitungsebene MUSS Informationssicherheit vorleben.
  • Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen.
  • Die zuständigen Mitarbeiter MÜSSEN mit den erforderlichen Kompetenzen und Ressourcen ausgestattet werden.
  • Die Institutionsleitung MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen.
  • Insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.
    Umsetzungshinweise

ISMS.1.A2 Festlegung der Sicherheitsziele und -strategie [Institutionsleitung] (B)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A3 Erstellung einer Leitlinie zur Informationssicherheit [Institutionsleitung] (B)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A4 Benennung eines Informationssicherheitsbeauftragten [Institutionsleitung] (B)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten [Institutionsleitung] (B)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit [Institutionsleitung] (B)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen (B)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A8 Integration der Mitarbeiter in den Sicherheitsprozess [Vorgesetzte] (B)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis

Standard-Anforderungen

ISMS.1.A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse [Institutionsleitung] (B)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A10 Erstellung eines Sicherheitskonzepts (S)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A11 Aufrechterhaltung der Informationssicherheit (S)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A12 Management-Berichte zur Informationssicherheit [Institutionsleitung] (S)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A13 Dokumentation des Sicherheitsprozesses (S)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A14 Sensibilisierung zur Informationssicherheit (S)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit (S)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis

Anforderungen bei erhöhtem Schutzbedarf

ISMS.1.A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien (H)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
ISMS.1.A17 Abschließen von Versicherungen (H)
  • Anforderung
  • Anforderung
  • Umsetzungshinweis
27 Jun

Echt jetzt, Potsdamer Justiz?

Eigentlich ist es ein kurzer Anruf bei Gericht und schon hat man das Aktenzeichen, unter welchem ein gerade eingereichter Antrag auf Erlass einer einstweiligen Anordnung bearbeitet wird.

Nicht so in Potsdam. Dort weiß das Justizzentrum dafür ganz genau, wie sie Anrufern für Jahrzehnte in Erinnerung bleiben werden. Nach einer ersten, ewigen Warteschleife konnte ich einfach nicht anders und habe es aufzeichnen müssen:

Ich rief noch einmal an und konnte nach einigen Minuten wieder nicht anders als aufzuzeichnen:

Das Ende (beginnend bei ca. 7:50 min) ist leider kein happy end, aber eines, was einem glatt die Schuhe auszieht.

update: Nach einer E-Mail von mir ruft die Verwaltung des LG Potsdam schon am nächsten Morgen an und bittet für diesen Einzelfall um Entschuldigung. Eine in der Regel immer Donnerstags eingerichtete Rufumleitung sei nicht geschaltet gewesen. Entschuldigung angenommen.

Echtsprechung halt. Wie im richtigen Leben.

11 Jun

Terrorismusbekämpfung oder Nachschub für Perverse?

Ausschnitte aus Inhalten von tagesschau.de und ndr.de

Ausschnitte aus Inhalten von tagesschau.de und ndr.de

Einer der einfachsten Grundsätze im Datenschutz ist, dass Daten nicht missbraucht werden können, welche zuvor gar nicht erst erhoben wurden.

Wie wichtig und richtig dieser Grundsatz ist, sollte man sich anhand der beiden, jeweils aus dem letzten Monat stammenden Artikel aus Tagesschau (abrufbar hier) und NDR (abrufbar hier) vor Augen führen.

Wollen Sie, dass perverse Beamte vom Gesetzgeber alle Mittel an die Hand bekommen, um Ihre Kinder, Ihre Söhne und Töchter, in Wort, Bild und Schrift, in der Schule, im Bade- und Kinderzimmer auszuspähen?

Denken Sie drüber nach.

07 Jun

Samsung auf Abwegen

Unwirksame Einwilligung

Unwirksame Einwilligung für die Zusendung von Marketinginformationen.

Man hört viel von dark patterns. Samsung illustriert im Rahmen der Einrichtung eines Smartphones wunderbar, was das ist.

mehr dazu

Ein dark pattern ist laut Wikipedia „ein Benutzerschnittstellen-Design, das sorgfältig darauf ausgelegt ist, einen Benutzer dazu zu bringen, bestimmte Tätigkeiten auszuführen, die dessen Interessen entgegenlaufen„. Ein beliebtes Einsatzfeld für dark patterns ist die Einholung solcher Einwilligungen, welche Nutzer in der Regel nicht (freiwillig) geben.

Ein Beispiel aus dem täglichen Leben:

Nachdem ein Samsung Galaxy Xcover 4 auf Werkseinstellungen zurückgesetzt wird, muss der Einrichtungsprozess erneut durchlaufen werden. Im Rahmen dieses zwingend zu durchlaufenden Prozesses führen Samsungs UI-Designer den Nutzer zu folgendem Dialog:

dark pattern

Zustimmungs- und Einwilligungsdialog

Mit diesem Dialog möchte Samsung die Zustimmung zu den AGB (Endnutzer-Lizenzbestimmungen) einholen und sich u.A. die – rechtlich notwendige – Einwilligung in die Zusendung von Werbung („Marketing-Informationen“) geben lassen. Durch die optische Gestaltung  des Dialogs wird der Eindruck vermittelt, man könne die Häkchen unabhängig voneinander setzen. Setzt man jedoch bei „Ich habe das oben Genannte gelesen und stimme zu“ das Häkchen, nachdem im oberen Teil lediglich die Häkchen zu „Endnutzer-Lizenzvertrag“ und „Diagnosedaten“ gesetzt wurden, wird automatisch das Häkchen auch bei „Marketing-Informationen“ gesetzt:

dark pattern

Zustimmungs- und Einwilligungsdialog

Der Eindruck, dass man diesen Dialog nur abschließen kann, wenn man die Einwilligung (in die Zusendung von Werbung),  die man eigentlich nicht geben wollte, dennoch gibt, scheint sich zu bestätigen, wenn man das Häkchen bei „Marketing-Informationen“ wieder entfernt. Denn dann wird automatisch auch wieder das Häkchen bei „Ich habe das oben Genannte gelesen und stimme zu“ entfernt:

dark pattern

Zustimmungs- und Einwilligungsdialog

Zum dark pattern macht diese Dialoggestaltung der Umstand, dass man an dieser Stelle mit einem Klick auf „WEITER“ den Dialog hinter sich lassen und die Einrichtung des Telefons beenden kann, ohne das Häkchen bei „Ich habe das oben Genannte gelesen und stimme zu“ zu setzen.

Nur nebenbei und abschließend sei erwähnt, dass die (oben im Kopf wiedergegebene) Einwilligung in die Zusendung von Werbung selbst dann nicht wirksam wäre, wenn Samsung sich nicht dieses dark patterns bedienen würde. Denn nähme man den Einwilligungstext ernst, könnte der Nutzer gegen die Zusendung der ersten werbenden E-Mail nicht widersprechen.

21 Mai

Markenkern(explosion)

Bild eines Frau mit Kind auf dem Arm bei ihrer Erschießung

Vergangenheitsbewältigung

Wenn schöne Worte eben doch nur schöne Worte sind, hat ein Markeninhaber es verdient, dass ihm seine Marke mitsamt der mit ihrer Hilfe errichteten Scheinwelt in einer Markenkernexplosion irgendwann um die Ohren fliegt.

(c)-Hinweis: Die Leistungsschutzrechte des Lichtbildners liegen beim mir unbekannten Fotografen der dargestellten Szene. Er möge sich bitte bei mir und der Staatsanwaltschaft melden, welche sehr wahrscheinlich wegen dieser Szene in einer Mordsache ermittelt.

(tm)-Hinweis: Die Bahlsen GmbH & Co. KG ist Inhaberin der oben rechts im Bild dargestellten EU-Wort-/Bildmarke  012330759.